مدیر رمز عبور، LastPass، توسط هکرها نقض شده است، به این معنی که رمزهای عبور اصلی شما ممکن است برای فروش باشد.
اطلاعات شخصی و خزانه های رمز عبور حاوی اعتبارنامه ورود میلیون ها کاربر اکنون در دست مجرمان است. اگر تا به حال از مدیر رمز عبور LastPass استفاده کرده اید، اکنون باید همه رمزهای عبور خود را برای همه چیز تغییر دهید. و باید فوراً اقدامات بیشتری را برای محافظت از خود انجام دهید.
در نقض داده LastPass 2022 چه اتفاقی افتاد؟
LastPass یک سرویس مدیریت رمز عبور است که بر روی مدل “freemium” کار می کند. کاربران میتوانند تمام رمزهای عبور و لاگین خود را برای سرویسهای آنلاین با LastPass ذخیره کنند و از طریق رابط وب، از طریق افزونههای مرورگر و از طریق برنامههای اختصاصی گوشی هوشمند به آنها دسترسی داشته باشند.
گذرواژهها در “حفظهها” ذخیره میشوند که با یک رمز عبور اصلی محافظت میشوند.
در آگوست 2022، LastPass اعلام کرد که مجرمان از یک حساب توسعه دهنده در معرض خطر برای دسترسی به محیط توسعه LastPass، کد منبع و اطلاعات فنی استفاده کرده اند.
جزئیات بیشتر در نوامبر 2022 منتشر شد، زمانی که LastPass اضافه کرد که برخی از داده های مشتری فاش شده است.
شدت واقعی نقض در 22 دسامبر فاش شد، زمانی که یک پست وبلاگ LastPass اشاره کرد که مجرمان از برخی از اطلاعات به دست آمده در حمله قبلی برای سرقت اطلاعات پشتیبان از جمله نام مشتری، آدرس و شماره تلفن، آدرس ایمیل، آدرس IP، استفاده کرده اند. و شماره کارت اعتباری جزئی علاوه بر این، آنها موفق به سرقت مخازن رمز عبور کاربران حاوی آدرس های اینترنتی و نام سایت های رمزگذاری نشده و همچنین نام های کاربری و رمزهای عبور رمزگذاری شده شدند.
آیا شکستن رمز اصلی LastPass شما برای مجرمان دشوار است؟
از نظر تئوری، بله، هکرها باید رمز عبور اصلی شما را شکست دهند. پست وبلاگ LastPass اشاره میکند که اگر از تنظیمات پیشنهادی پیشفرض آنها استفاده کنید، «میلیونها سال طول میکشد تا رمز عبور اصلی خود را با استفاده از فناوری شکستن رمز عبور که به طور کلی در دسترس است حدس بزنید.»
LastPass نیاز به رمز عبور اصلی حداقل 12 کاراکتر دارد و توصیه می کند “هرگز از رمز عبور اصلی خود در وب سایت های دیگر استفاده مجدد نکنید.”
با این حال، LastPass در بین سرویس های مدیریت رمز عبور منحصر به فرد است، زیرا به کاربران اجازه می دهد تا در صورت گم کردن رمز عبور، رمز عبور اصلی خود را به آنها یادآوری کنند.
به طور موثر، این کاربران را تشویق می کند تا از کلمات و عبارات فرهنگ لغت به عنوان بخشی از رمز عبور خود استفاده کنند، نه یک رمز عبور تصادفی قوی. اگر رمز عبور شما “lVoT=.N]4CmU باشد، هیچ راهنمایی رمز عبور کمکی نخواهد کرد.
مخازن رمز عبور LastPass مدتی است که در دست مجرمان قرار گرفته است، و با وجود اینکه رمزگذاری شده اند، در نهایت در معرض حملات brute force قرار خواهند گرفت.
مهاجمان به لطف وجود پایگاه های داده عظیم رمزهای عبور رایج، کار خود را آسان تر خواهند کرد. به عنوان مثال، می توانید یک لیست رمز عبور 17 گیگابایتی شامل 613 میلیون رمز عبور رایج را از haveibeenpwned دانلود کنید. سایر گذرواژهها و لیستهای اعتبار در وب تاریک در دسترس هستند.
امتحان کردن هر یک از نیم میلیارد کلید رایج در مقابل یک طاق انفرادی چند دقیقه طول می کشد، و اگرچه تعداد نسبتاً کمی 12 کاراکتر مورد نیاز است، این احتمال وجود دارد که مجرمان سایبری بتوانند به راحتی به نسبت خوبی از خزانه ها نفوذ کنند.
به این واقعیت اضافه کنید که قدرت محاسباتی سال به سال افزایش مییابد و مجرمان با انگیزه میتوانند از شبکههای توزیع شده برای کمک به این تلاش استفاده کنند. “میلیون ها سال” برای اکثر حساب ها امکان پذیر به نظر نمی رسد.
آیا نقض LastPass فقط روی رمزهای عبور تأثیر می گذارد؟
در حالی که خبر اصلی این است که مجرمان می توانند وقت خود را صرف نفوذ به صندوق LastPass شما کنند، آنها می توانند با استفاده از نام، آدرس، شماره تلفن، آدرس ایمیل، آدرس IP و شماره کارت اعتباری جزئی از شما به روش های دیگری سوء استفاده کنند.
از اینها می توان برای تعدادی از اهداف پلید از جمله حملات spearphishing علیه شما و مخاطبین شما، سرقت هویت، گرفتن اعتبار و وام به نام شما، و حملات تعویض سیم کارت استفاده کرد.
چگونه می توانید پس از نقض داده های LastPass از خود محافظت کنید؟
شما باید فرض کنید که ظرف چند سال، رمز عبور اصلی شما به خطر می افتد و تمام رمزهای عبور موجود در آن برای مجرمان شناخته می شود. اکنون باید آنها را تغییر دهید و از رمزهای عبور منحصر به فردی استفاده کنید که قبلاً هرگز استفاده نکرده اید و در هیچ یک از لیست های رمز عبور رایج وجود ندارد.
با توجه به سایر مجرمان به دست آمده از LastPass، باید اعتبار خود را مسدود کنید و از یک سرویس نظارت بر اعتبار برای نظارت بر هر کارت جدید یا درخواست وام به نام خود استفاده کنید. اگر میتوانید شماره تلفن خود را بدون دردسر زیاد تغییر دهید، باید این کار را نیز انجام دهید.
مسئولیت امنیت خود را بپذیرید
به راحتی می توان LastPass را به خاطر نقض داده ها سرزنش کرد که باعث شد انبارهای رمز عبور و اطلاعات شخصی شما به دست مجرمان بیفتد، اما خدمات مدیریت رمز عبور که زندگی شما را ایمن می کند و به شما کمک می کند ترکیب های منحصر به فرد ایجاد کنید هنوز بهترین راه برای ایمن سازی زندگی آنلاین شما هستند.
یکی از راههای سختتر کردن دسترسی سارقان احتمالی به دادههای حیاتی شما، میزبانی یک مدیر رمز عبور بر روی سختافزار خود است. این کار ارزان و آسان است و برخی از راهحلها مانند VaultWarden را میتوان حتی در Raspberry Pi Zero پیادهسازی کرد.